メールの送受信における、企業がやるべき情報漏洩対策とは?
東京商工リサーチより、2022年の情報漏洩・紛失事故についての調査結果が発表されました。(2023年1月19日発表)
結果によると、情報漏洩・紛失事故の原因の半数以上が「ウイルス感染・不正アクセス」によるもので、次いで「誤表示・誤送信」が26%となり、メールの送信間違いなどの人為的な原因が上位に入りました。
※参照:東京商工リサーチ|個人情報漏えい・紛失事故 2年連続最多を更新 件数は165件、流出・紛失情報は592万人分 ~ 2022年「上場企業の個人情報漏えい・紛失事故」調査 ~
この結果を見て、いつも当たり前に使っているメールから、多くの情報漏洩が発生していることに驚いた方も多いのではないでしょうか?
多くの企業がメールからの情報漏洩を起こしてしまっている昨今において、決して他人事とは言えない問題でしょう。
今回は、「メールからどのように情報漏洩が起こるのか?」「メールからの情報漏洩には、どんな防止策が必要か?」を解説いたします。
原因を理解して本記事で紹介する対策を行い、メールからの情報漏洩事故を防いでいきましょう。
目次[非表示]
- 1.メールから情報漏洩が起こる原因は4つある
- 2.メールからの情報漏洩の事例
- 3.メールからの情報漏洩を防ぐ方法
- 3.1.人的な情報漏えいの防止方法
- 3.2.技術的な情報漏えいの防止方法
- 4.まとめ
メールから情報漏洩が起こる原因は4つある
そもそも、どうしてメールにより情報漏洩が発生してしまうのでしょうか。
情報漏洩の主な原因を4つ紹介します。
・誤送信
個人情報が記載されている本文や添付ファイルを、誤って違う宛先に送信して情報漏洩を起こしてしまうことは非常にありがちです。
メールアドレスを手入力したときにスペルを間違えたり、アドレス帳の中にある同じ苗字の人に誤って送信してしまうなど、誤送信は「うっかりミス」によって引き起こされます。
また、スペル間違いは、「お問い合わせはこのメールアドレスまで」というような問い合わせ先を指定する場合にも注意が必要です。
指定されたメールアドレスの表記が誤っていれば、当然ながら問い合わせメールは正しい送信先には届きません。
さらに、誤ったメールアドレスが第三者のものであった場合、その人物に送信者の情報が漏れてしまうことになります。
・「To」「Cc」「Bcc」の設定・選択ミス
複数人に対して同じメールを一斉送信することは業務を行う上でよくあるかと思いますが、その際に起こってしまうのが、「To」「Cc」「Bcc」の宛先設定・選択ミスによる情報漏洩です。
「To」や「Cc」を使用し、メールを一斉に送信すると、受信側はそれぞれ「To」や「Cc」に含まれている、他の人のアドレスを閲覧できてしまいます。
社内など身近な人同士のやりとりには便利ですが、受信者同士が知らない人間である場合、「To」や「Cc」を使ってしまうと個人情報の漏洩になることがあります。
一方、「Bcc」を使用して一斉送信を行えば、そこに含まれたそれぞれ個人のアドレスは閲覧できない状態で受信されます。
受信者同士に面識がない場合は、同じ内容のメールが送られている相手が特定されない「Bcc」を使用しましょう。
・添付ファイルの誤った取り扱い
ファイルそのものを間違えたり、パスワードを設定していなかったりなど、添付ファイルの誤った取り扱いも重大な情報漏洩を引き起こす要因になりかねません。
メールで重要情報を取り扱わないようにするか、もしくは添付ファイルをすぐに見られないような形式にするかなど工夫をして、情報をしっかりと保護するようにしましょう。
・ウイルス
メールによる情報漏洩は、ウイルスによっても引き起こされます。
受信したウイルス付きメールを開いてしまうと、デバイスがハッキングされファイルが流出し、情報漏洩につながってしまいます。
悪意のある第三者が個人情報を入手して売るための手段として、ウイルス付きメールはよく用いられます。
怪しいと思われる受信メールは決して開かず、すぐに削除を行いましょう。
また、使用しているデバイスがすでに何らかの形でウイルスに感染していた場合、自分のアドレスが送信元となってウイルスメールを送りつけてしまうケースや、パソコン内にある重要なファイルを勝手に送信してしまう可能性もあります。
メールからの情報漏洩の事例
上述のような内容を原因とし、実際に起こったメールによる情報漏洩の事例を一部紹介いたします。
・某大手企業で、社員が送信先のメールアドレスを誤って設定し、無関係である第三者に対して会員の個人情報が含まれるファイルを送信してしまった。
その結果、会員の氏名・住所・サービスの利用実績情報など、数万件が流出してしまう事故となった。
・某オンラインショップにて、サービス案内のメールを利用者へ送付する際に、約1,000名以上の利用者のメールアドレスが記載されたファイルを誤って添付してしまった。
送付後、利用者からの指摘によって流出が発覚。
このような情報漏洩が発生してしまうと、企業の存続にも関わるほどの問題に発展する可能性があります。
企業としてメールによる情報漏洩を防ぐため、あらかじめ対策を行う必要があると言えます。
メールからの情報漏洩を防ぐ方法
では、メールからの情報漏洩を防ぐために、どのような対策を行うべきでしょうか。
対策方法を人的な対策と技術的な対策の二つに分けてご紹介いたします。
人的な情報漏えいの防止方法
・メール送信を承認制にする
個人でメール送信を完結するのではなく、複数人でチェックしてから送信するという体制をつくることで、うっかりミスによる誤送信は防げる可能性が高くなります。
例えば、
・宛先は正しいか?
・To・Cc・Bccは正しく使えているか?
・メールの内容に誤りはないか?
・本文や添付ファイルに不要な個人情報の記載は無いか?
・返信先のメールアドレスが正しく表記されているか?
・正しいファイルが添付されているか?
などのチェック項目を作成し、上長など別の人物が最終確認を行い、問題がなければそこで初めて送信をするようにします。
ダブルチェックの役目を果たせるのと同時に、上司に最終確認されるという緊張感が生まれるため、ケアレスミスの防止につながることでしょう。
・添付ファイルにパスワードを設定する
社内のデータをメールに添付し外部に送信する際は、必ずパスワードを設定するようにしましょう。
万が一送り先を間違えていたとしても相手がパスワードを知らなければ、ファイルを開かれる心配はありません。
また、自動的にパスワードを設定してくれるメールソフトもありますので、適宜活用すると良いでしょう。
・社員のセキュリティリテラシーを高める
ウイルス付きメールによる情報漏洩の要因は、当人のウイルス感染の知識の低さが引き起こすことがほとんどです。
ウイルス付きメールの手口を学び、その脅威が身近に迫っていることを日頃から意識しておくことで、いざ送付されたときに開封してしまう可能性を下げることができます。
標的型攻撃メール訓練などのサービスを利用すれば、社員が攻撃メールの手口を学ぶきっかけとなり、社員のセキュリティ意識を向上できます。
⇒実体験!標的型攻撃メール訓練とは?目的と3つの効果について解説!
技術的な情報漏えいの防止方法
・メールソフトの誤送信防止機能を活用する
業務で頻繁にメールの送受信をする場合、メールソフトの誤送信防止機能を活用するのも良い手段です。
・情報漏洩につながりそうな箇所があった場合、送信前にアラートを出す
・添付ファイルの暗号化を自動で行う
・ToやCcの設定に複数のメールアドレスが設定されている場合、自動でBccへの書き換えを行う
などをメールソフトに設定し、目視でのチェックを極力省くようにすれば、人的ミスのリスクは大きく削減できます。
・メールを社内SNSやチャットに置き換える
社員同士の情報のやりとりを、メールから社内SNSやチャットに置き換えることも、情報漏洩の防止に役立ちます。
メールアドレスや、To・Cc・Bccの設定を行う必要のないコミュニケーションツールを、社内でのやりとりに利用すれば、誤って取引先に社内の人間に送るはずだったメールを送ってしまうようなミスは回避できます。
コミュニケーションをとる相手によってツールを使いわけ、宛先間違いのミスを無くすようにしましょう。
・メールフィルタリング製品を使う
不正なURLや添付ファイル付きのメールを、あらかじめブロックしてくれる機能を持つ、「メールフィルタリング製品」を使う方法も有効です。
しかし、ウイルス付きメールの手口は日々進化しているため、メールフィルタリング製品だけでは100%は防ぐことが難しいのが実状です。
メールフィルタリング製品だけでは不安だという方には、社内ネットワーク全般のセキュリティを強化することを強くおススメします。
社内ネットワーク全般のセキュリティを強化することで、さまざまな手口で会社情報を奪いに来る者の侵入を、総合的に防ぐことが可能になります。
最適なセキュリティは企業によって異なるため、不安な方はセキュリティに詳しい企業へ相談してみるのもよいでしょう。
まとめ
以上、メールからの情報漏洩を防ぐ方法やポイントについて解説いたしました。
述べてきた通り、情報漏洩は「ついうっかり」の人的ミスから起こることが非常に多いです。
情報漏洩対策として、例え優秀なツールを導入し対策を講じたとしても、それを操るのは人であることを忘れてはいけません。
社員全員が情報漏洩に対し危機感を常に持ち続けていられるよう、情報セキュリティに対する学びの機会を企業内で継続的に設け、高い意識を浸透させることが何より大切です。
『うちの社員のセキュリティリテラシーは大丈夫だろうか?』
『社員へセキュリティ研修を実施したいけれど、講師をできる人がいない・・・』
など、社員へのセキュリティ教育にお悩みの方は、お気軽にこちらまでご相談ください。
\アイエスエフネットのセキュリティサービス/
・情報漏えい調査サービス MIERUPASS(ミエルパス)
・エンドポイントセキュリティ MIERUDR(ミエルダー)
・標的型攻撃メール訓練サービス MIERUTRAP(ミエルトラップ)
・従業員へのセキュリティ教育サービス セキュリティベーシック研修
■関係記事
・セキュリティリテラシーを高める!!すぐに始められる対策とは??
・情報漏えい対策の基本!! 当たり前のようで知らない情シスが行うべきこととは!?
・クラウド利用での情報漏洩に備える! 情シスが知っておくべきリスクとその対策とは??
※この記事は、公開時点の情報をもとに作成しています。